вирус создает в Temp новые файлы все время
#1 mikusha
здравствуйте. помогите пожалуйста. на ноутбуке появился вирус. проверила прогой нашло 66 вирусов, было написано троянов. я нажала вылечить все. прога Cureit вирусов теперь не видит. но файлы в папке Temp все ровно создаются. до этого было занято 4гига. сейчас поменьше но я боюсь заходить на сайты и писать свои пароли. что мне делать? не знаю правильно ли я сохранила файлы. не особо шарю в этом. всех заранее благодарю за помощь.
файл не вошел с проги Cureit, вот ссылка на файлообменник http://dropmefiles.com/a0SiW
Прикрепленные файлы:
hijackthis.log7,93К 6 Скачано раз- ВИКА-ALIENWARE_Вика_130717_213421.zip9,73Мб 5 Скачано раз
hijackthis.log7,93К 6 Скачано раз
ВИКА-ALIENWARE_Вика_130717_213421.zip9,73Мб 5 Скачано раз#2 Dr.Robot
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
В папке windows/Temp вирусы что делать?
Удалять можно. Удали, почисть комп Ccleaner и скачай MBAM и запусти сканирование всего компьютера.
нужно использовать Malwarebytes Anti-Malware, которая обнаружит активность странного процесса Babylon.exe, который засел невидимым фронтом в папке Temp. При этом, при удалении этого процесса, который включается всего на пару мгновений, дабы прописать DNS, а затем отключается, система задействует редирект на рекламный ресурс. Трафик подменяет пакеты, за счет чего идет очередная подмена DNS и программа возвращается в папку Temp.
Для устранения этого вируса\трояна\spyware достаточно заблокировать пакеты с вредоносными DNS и очистить DomenName в реестре.
Это можно сделать вручную через CMD (Win+R) в regedit по пути:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces
В параметрах справа будет ключ DomenName. По умолчанию он должен быть пустым! Если там указаны какие-то адреса, то их надо проеврить через WHOIS. Если эти адреса НЕ принадлежат вашему провайдеру (например Beeline), то это ВРЕДОНОСНЫЕ DNS!
Если стереть эти DNS не решит проблему, т. к. после очередного запуска браузера они снова появлялись. Для решения проблемы ВСЕ ключи DomenNameнужно переименовать просто в Domen.
Если самостоятельно переименовать ключ не получается, то можно воспользоваться бесплатной утилитой HijackThis (https://ru.wikipedia.org/wiki/HijackThis. ), ссылка для скачивания: http://sourceforge.net/projects/hjt/
Инструкция по утилите:
— Запускаем утилиту
— Нажимаем на Do a system Scan Only
— После этого смотрим на значение ключей под O17!
— Если в списке проверки есть O17 и в нем прописан адрес DNS, вроде 5.104.108.204 или 5.104.108.202, то надо их выделить галочкой и нажать на Fix Only
Все действия можно проделать вручную, переименовав ключи реестра.
После этого надо перезагрузить ПК.
Удачи!
В папке TEMP плодятся файлы
Вложения
 | CollectionLog-2017.08.09-13.29.zip (115.5 Кб, 5 просмотров) |
В папке Temp удаленные файлы создаются вновь
Столкнулся с похожей проблемой как в этой теме -.
В папке Temp удаленные файлы создаются вновь
Добрый день такая проблема Nod 32 нашел два вируса по пути C:\Users\Юрец\AppData\Local\Temp,и.
Что-то создает .exe файлы в папке Temp
Здравствуйте. С редкой периодичностью (1-2 раза в день) в папке Temp создаются ещё папки, название.
Неизвестные %name%.tmp.exe файлы в папке C:\Windows\Temp
Здравствуйте! Пару дней замечаю, как в папке C:\Windows\Temp появляются неизвестные файлы, название.
Внимание! Рекомендации написаны специально для пользователя JoseFoTTen. Если рекомендации написаны не для вас, не используйте их — это может повредить вашей системе.
Если у вас похожая проблема — создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________
Через Панель управления — Удаление программ — удалите нежелательное ПО:
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки
Отчёт о работе в виде файла ClearLNK- .log прикрепите к вашему следующему сообщению.
Вложения
 | ClearLNK-09.08.2017_17-12.log (2.3 Кб, 2 просмотров) |
| CollectionLog-2017.08.09-17.15.zip (102.4 Кб, 2 просмотров) |
Вложения
 | AdwCleaner[S0].txt (6.2 Кб, 3 просмотров) |
1.
- Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
- Нажмите кнопку «Scan» («Сканировать»).
- По окончании сканирования в меню Инструменты — Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
и нажмите Ok.
- Нажмите кнопку «Clean» («Очистить») и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt .
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера. .
2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Вирусы из папки Temp
Вложения
| CollectionLog-2016.02.25-15.24.zip (86.0 Кб, 5 просмотров) |
В папки C:\Windows\Temp хрень какаято
В папке C:\Windows\Temp автоматически появляется *.exe файл с рандомным названием и весом 13кб.
Нод обнаружил вирусы, папки на переносном хдд стали ярлыками
Здравствуйте. Нод обнаружил вирусы, папки на переносном хдд стали ярлыками. После полной проверки.
Переполнение папки Temp
Здравствуйте! В последнее время заметил что стал переполняться диск С, определил что это в папке.
Папки TEMP и TMP
Когда купил SSD пенесь папку AppData(всю) на диск D. Можно вернуть все на старое место на диск C.
Внимание! Рекомендации написаны специально для DarthNero. Если рекомендации написаны не для вас, не используйте их — это может повредить вашей системе.
Если у вас похожая проблема — создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Вложения
| AdwCleaner[S1].txt (5.2 Кб, 4 просмотров) |
| ClearLNK-27.02.2016_21-36.log (3.3 Кб, 2 просмотров) |
Вложения
| AdwCleaner[C1].txt (5.7 Кб, 2 просмотров) |
 | Desktop.rar (20.8 Кб, 3 просмотров) |
Вложения
| Fixlog.txt (2.8 Кб, 2 просмотров) |
SecurityCheck by glax24 & Severnyj v.1.4.0.37 [05.03.16]
WebSite: www.safezone.cc
DateLog: 02.04.2016 13:22:11
Path starting: C:\Users\Андрей\AppData\Local\Temp\SecurityCheck\SecurityChe ck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Андрей
VersionXML: 2.66is-29.03.2016
____________________________________________________________ _______________
Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 15.06.2015 11:30:18
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [195 Гб] Занято: [111.8 Гб] Свободно: [83.2 Гб]
——————————- [ Windows ] ——————————-
Internet Explorer 11.0.9600.18230
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2016-04-01 13:46:46
Центр обновления Windows (wuauserv) — Служба работает
Центр обеспечения безопасности (wscsvc) — Служба работает
Удаленный реестр (RemoteRegistry) — Служба остановлена
Обнаружение SSDP (SSDPSRV) — Служба остановлена
Службы удаленных рабочих столов (TermService) — Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) — Служба остановлена
—————————- [ Antivirus_WMI ] —————————-
ESET NOD32 Antivirus 9.0.349.14 (включен и обновлен)
————————— [ FirewallWindows ] —————————
Брандмауэр Windows (MpsSvc) — Служба работает
————————— [ AntiSpyware_WMI ] —————————
Windows Defender (включен и обновлен)
ESET NOD32 Antivirus 9.0.375.1 (включен и обновлен)
———————- [ AntiVirusFirewallInstall ] ————————
ESET NOD32 Antivirus v.9.0.349.14
————————— [ OtherUtilities ] —————————-
WinRAR 5.31 (64-разрядная) v.5.31.0
Microsoft Silverlight v.5.1.41212.0
Foxit Reader
TeamViewer 11 v.11.0.56083
Менеджер браузеров v.2.1.2.577
——————————— [ IM ] ———————————-
Skype™ 7.22 v.7.22.107 [+]
——————————— [ P2P ] ———————————
µTorrent v.3.4.6.42094 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента .
————————— [ AdobeProduction ] —————————
Adobe Flash Player 21 ActiveX v.21.0.0.197
Adobe Flash Player 21 NPAPI v.21.0.0.197
Adobe Flash Player 21 PPAPI v.21.0.0.197
——————————- [ Browser ] ——————————-
Mozilla Firefox 45.0.1 (x86 ru) v.45.0.1
Opera Stable 36.0.2130.46 v.36.0.2130.46 [+]
————————— [ RunningProcess ] —————————-
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.45.0.1.5918
C:\Program Files\Internet Explorer\iexplore.exe v.11.0.9600.18231
C:\Program Files (x86)\Internet Explorer\iexplore.exe v.11.0.9600.18231
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe v.9.0.374.0
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe v.9.0.374.1
—————————— [ End of Log ] ——————————
Извиняюсь за задержку!
Опять возникла проблема с папкой Temp. 
Прилагаю новые логи вновь.
